セキュリティ

SECURITY

公開：2025-01-23

【CVE-2025-21338】MicrosoftがGDI+のリモートコード実行の脆弱性を公開、Windows・Office製品群に広範な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MicrosoftがGDI+のリモートコード実行の脆弱性を公開
• Windows、Office製品群に広範な影響
• 深刻度7.8のハイリスク脆弱性に対応

【CVE-2025-21338】GDI+のリモートコード実行の脆弱性

MicrosoftはGDI+におけるリモートコード実行の脆弱性【CVE-2025-21338】を2025年1月14日に公開した。この脆弱性はCWE-190に分類される整数オーバーフローまたはラップアラウンドの問題であり、CVSSスコア7.8の高リスクな脆弱性として評価されている。^[1]

影響を受けるプラットフォームはWindows 10、Windows 11、Windows Serverシリーズと多岐にわたり、特にWindows 10 Version 1809からWindows Server 2025まで幅広いバージョンに影響を及ぼすことが判明した。脆弱性の影響範囲は32ビットシステム、x64ベースシステム、ARM64ベースシステムと広範に及んでいる。

Microsoft Office製品群においても深刻な影響が確認されており、Office for Mac、Office LTSC for Mac 2021および2024、Office for iOS、Office for Android、Office for Universalなど、クロスプラットフォームで展開される製品にも影響が及んでいる。MicrosoftはGDI+の脆弱性に対する修正パッチを各プラットフォーム向けに提供している。

影響を受けるプラットフォームとバージョン情報まとめ

整数オーバーフローについて

整数オーバーフローとは、プログラムにおいて整数型の変数が表現可能な最大値を超えてしまう、あるいは最小値を下回ってしまう状態のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ破壊やバッファオーバーフローの原因となる可能性
• 予期せぬプログラムの動作やクラッシュを引き起こす
• 攻撃者による任意のコード実行の足がかりとなる

GDI+における整数オーバーフローの脆弱性は、画像処理時のメモリ管理に関連する問題として知られている。攻撃者は特別に細工された画像ファイルを用いて整数オーバーフローを引き起こし、システム上で任意のコードを実行する可能性があるため、早急なアップデートが推奨される。

GDI+の脆弱性対応に関する考察

GDI+の脆弱性が広範なプラットフォームに影響を及ぼしていることは、グラフィックス処理システムの重要性と同時にその脆弱性管理の課題を浮き彫りにしている。特にクロスプラットフォーム展開されているOffice製品群への影響は、企業システムのセキュリティ管理者にとって大きな課題となることが予想される。

今後は画像処理エンジンの安全性向上が重要な課題となるだろう。特に整数オーバーフローのような基本的な脆弱性が、現代のソフトウェアでも発見され続けていることは、コードレビューやセキュリティテストの重要性を再認識させる機会となっている。

また、Windows ServerやOffice製品など、ビジネスクリティカルなシステムへの影響も大きいことから、パッチ適用の優先順位付けと展開計画の立案が重要となる。特にサーバー環境では、システムの停止を最小限に抑えながら、効率的にセキュリティアップデートを適用する戦略が求められるだろう。

参考サイト

1. ^ CVE. 「CVE-2025-21338 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21338, (参照 25-01-23).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧